DIGITAL FORENSICS:Decoding Windows Registry Artifacts

ROT13   ("หมุน 13 ตำแหน่ง"  เป็นเทคนิคแทนที่ตัวอักษรอย่างง่ายที่แทนที่ตัวอักษรด้วยตัวอักษรตัวที่ 13 ตามหลังในอักษรละติน ROT13 ซึ่งพัฒนาขึ้นในยุคโรม  และต่อมาได้นำวิธีนี้มาใช้ในระบบคอมพิวเตอร์ด้วย

Caesar cipher เป็นเทคนิคการแทนที่ตัวอักษรที่ง่ายและแพร่หลายที่สุด โดยอักษรแต่ละตัวจะถูกแทนที่ด้วยตัวอักษรที่อยู่ลำดับถัดไป ตามจำนวนที่แน่นอน แล้วแต่จำนวน

ที่มา:https://en.wikipedia.org/wiki/ROT13

ROT เช่นตัวที่นิยมที่สุดในยุคนั้นคือ ROT13 ก็จะทำการ Shift ตัวอักษรไปอีก 13 ตัว เช่น  ROT13(“Julius Caesar”) = “Whyvhf Pnrfne”

Introduction to CyberChef

• Open this page:

https://gchq.github.io/CyberChef/

• On the top right, in the Input box, enter:  Digital Forensics Examiner

• Find the ROT13 operation and drag it to the Recipe pane.

The encrypted message appears in the lower right Output pane, beginning with Qvtvgny, as shown below.

Disable the ROT13 operation. Now the output is the same as the input, as shown below.

Registry: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

The key in the Registry. UserAssist shows the program that was executed in Windows with last execution (executable and links) time and path of executed program.

ในวินโดว์ รีจิสทรีจะติดตามข้อมูลที่ระบบปฏิบัติการ ตั้งค่าแอปพลิเคชันและข้อมูลเฉพาะของผู้ใช้ (User)   แต่กิจกรรมของพวกเขามักจะถูกบันทึกไว้เมื่อพวกเขาเรียกใช้โปรแกรมติดตั้งหรือแอพพลิเคชั่น กลุ่มรีจิสทรี HKEY_CURRENT_USER จะจัดเก็บการตั้งค่าเฉพาะสำหรับผู้ใช้ที่เข้าสู่ระบบในปัจจุบัน

    และใน Windows มีรายการรีจิสตรีจำนวนหนึ่งภายใต้ UserAssist ซึ่งช่วยให้ผู้ตรวจสอบสามารถดูว่าโปรแกรมใดบ้างที่ถูกเรียกใช้งานเมื่อเร็วๆ นี้บนระบบ สิ่งนี้มีประโยชน์อย่างยิ่งในการสืบสวนที่ผู้ตรวจสอบต้องการดูว่ามีการใช้งานแอปพลิเคชันใดอยู่หรือไม่ เช่น เครื่องมือการเข้ารหัสหรือการล้างข้อมูล  

     ข้อมูล UserAssist จะมีข้อมูลว่าแอปพลิเคชันถูกเรียกใช้จากทางลัด (ไฟล์ LNK) หรือจากไฟล์ปฏิบัติการโดยตรง  (executable) ซึ่งจะช่วยให้ผู้ตรวจสอบได้รับบริบทเพิ่มเติมเกี่ยวกับการทำงานของโปรแกรม

    มีการนำเทคนิค ROT13 ทำการ Encode   ข้อมูลไว้ภายใต้กลุ่ม  UserAssist  รีจิสทรีส่วนนี้ติดตามข้อมูลเกี่ยวกับแอปพลิเคชันที่ติดตั้งและทำงานบนเครื่อง และสามารถช่วยคุณค้นหาหลักฐานการมีอยู่และการทำงานของแอปพลิเคชันเหล่านั้น

อย่างไรก็ตาม สิ่งสำคัญคือต้องทราบว่าไม่ใช่ทุกแอปพลิเคชันที่ใช้ Windows Registry เพื่อจัดเก็บรายละเอียดการกำหนดค่าและการดำเนินการ แม้ว่าจะไม่พบบันทึกที่นั่น แต่ก็ไม่ได้หมายความว่าแอปพลิเคชันบางตัวไม่เคยเป็นส่วนหนึ่งของระบบ 

Extracting UserAssist information from the Windows registry

รีจิสทรีของ Windows เก็บข้อมูลกลุ่ม HKEY_CURRENT_USER ในไฟล์ NTUSER.DAT ที่อยู่ใน C:\Users\%useraccount% บัญชีผู้ใช้แต่ละบัญชีในระบบมี NTUSER.DAT ของตัวเอง ไฟล์นี้มีข้อมูลการกำหนดค่าผู้ใช้ ซึ่งจะอัปเดตตลอด 

วิธีที่รวดเร็วที่สุดในการรับข้อมูล UserAssist คือการวิเคราะห์โฟลเดอร์ C:\Users\%useraccount% โดยใช้เครื่องมือนิติวิทยาศาสตร์ดิจิทัล  เช่น Autopsy ,AccessData Registry Viewer ,Beklasoft,Magnet ,Registry  Recon ,CyberChef ,OSforensics Registry Viewer ,Registry Explorer

คุณสามารถแยกวิเคราะห์ NTUSER.DAT ได้ด้วยตนเอง อย่างไรก็ตาม มันเกี่ยวข้องกับการเจาะลึกโครงสร้างไฟล์และเทคนิคการเข้ารหัส เนื่องจากไฟล์เก็บข้อมูลในรูปแบบไบนารี และข้อมูล UserAssist ถูกทำให้สับสนด้วยการเข้ารหัส ROT13 นอกจากนี้ เมื่อต้องจัดการกับบันทึกที่อาจถูกลบ เครื่องมือทั่วไป เช่น Registry Editor อาจทำให้เราอ่านค่าเหล่านั้นได้ยาก

เครื่องมือ  Forensics Tools จะแยกวิเคราะห์ข้อมูลรีจิสทรี UserAssist และถอดรหัสข้อมูลที่เข้ารหัส ROT13 โดยให้ชื่อไฟล์และพาธแก่ผู้ตรวจสอบ จำนวนการเรียกใช้แอปพลิเคชัน ผู้ใช้ที่เกี่ยวข้อง และวันที่/เวลาที่โปรแกรมถูกเรียกใช้งานครั้งล่าสุด

Analyzing the UserAssist artifact

• Autopsy V.4.19

ชื่อและเส้นทางแอปพลิเคชันที่ดำเนินการ (ฟิลด์ชื่อ ค่าแสดงค่าดั้งเดิมที่เข้ารหัสใน ROT13) name and path (red highlights) 

• Registry  Recon V.2.4

• AccessData Registry Viewer V.1.8

• OSforensics Registry Viewer V.7.1

• Belkasoft X

• Registry Explorer V.2.0

• CyberChef    > Decode ROT13

เส้นทางการดำเนินการจริงบนเครื่อง เช่น "C:\Program Files\ExampleApp"

ชุดค่า  GUID/เส้นทาง โดยที่ GUID แสดงถึงโฟลเดอร์ระบบมาตรฐาน คุณสามารถค้นหาข้อมูลเกี่ยวกับวิธีการตีความ GUID เหล่านี้ได้ในบทความของ Microsoft "Known Folder GUIDs forFile Dialog Custom Places"

ตัวอย่าง

The UserAssist data is obfuscated with ROT13 encoding. 

System 1AC14E77-02E7-4E5D-B744-2EB1AE5198B7

1. Encode > {1NP14R77-02R7-4R5Q-O744-2RO1NR5198O7}\pzq.rkr     
2. Decode >{1AC14E77-02E7-4E5D-B744-2EB1AE5198B7}\cmd.exe   

     

อ่านเพื่มเติม: CyberChef

                    ROT13

อ้างอิง :

•             Decoding Windows Registry Artifacts
•             Simple Ciphers with CyberChef
•             Known Folder GUIDs for File Dialog Custom Places
•             Artifact Profile – UserAssist
•             Caesar cipher
•             UserAssist Forensics

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

รีวิวการสอบใบรับรอง Certified in Cybersecurity (CC)ของ (ISC)2 สมัครฟรี, เรียนฟรี, สอบฟรี 

Update 2-4-2025

Registration

เนื่องจากช่วงที่ผมสอบนี้ (25-Dec 2023) ตัว Certified in Cybersecurity สามารถลงทะเบียน เรียนและสอบ ได้ฟรี 1 ล้านคน ดูได้ที่ https://www.isc2.org/1mcc

โดยมีขั้นตอนดังนี้

1. สมัครบัญชีกับ (ISC)2

2. สมัครและจองสอบกับ Pearson VUE https://home.pearsonvue.com/isc2

3. เลือกสอบ Certified in Cybersecurity + เลือกสถานที่สอบ + เวลาสอบ

4. เมื่อถึงหน้าจ่ายเงิน ให้ใส่ coupon ที่ได้รับมา | ใส่ Code  (Promotion valid until: 12/31/2023)

เนืื้อหา

จำนวนข้อสอบ 100 ข้อ ข้อสอบเป็นแบบ Choice    เวลา 2 ชม. ข้อสอบเป็นภาษาอังกฤษ

การเตรียมตัว

• เรียน (ISC)2 ก่อน ทำ Pre-test, Post-test ให้ผ่าน 70%
• เมื่อสมัครแล้ว ให้กดไปที่ Study for Exam เลือก Online Self-Paced

• Certified in Cybersecurity Practice Quiz

• อบรมเพิ่มเติม  โดยแบ่งอ่านตามความรู้ที่เราไม่ถนัด หรืิอไม่ชำนาญ ให้เริ่มอ่านก่อน

โครงการอบรมเชิงปฏิบัติการ Certified in Cybersecurity (CC)

โครงการนี้เหมือนให้ผมเข้าไปฝึกในห้องการเวลา จาก 1 เดือน ใช้เวลา แค่ 7 ชม. ทบทวนความรู้และสรุปได้เข้าใจง่าย

หลังจากอบรม หลักสูตร Certified in Cybersecurity (CC) แล้วแอดมินก็สอบ ในสัปดาห์ถัดไป 25 ธ.ค 2563 

ได้เมลเตือนให้ต่ออายุสมาชิก ก่อนจะโดนปิด account  (กดดัน)

We are writing to let you know that the end of your grace period to pay your ISC2 Candidate dues is 2023-12-31. 

หากไม่ได้รับการชำระเงินภายในวันที่ 31-12-2566 สถานะผู้สมัคร ISC2 ของคุณจะถูกยกเลิก คุณจะไม่สามารถอ้างสิทธิ์สถานะผู้สมัคร ISC2 ของคุณหรือเข้าถึงบัญชีและสิทธิประโยชน์ของผู้สมัคร ISC2 ของคุณได้อีกต่อไป ป้ายดิจิทัลของคุณจะถูกปิดใช้งาน และการเข้าถึงการฝึกอบรม CC ฟรีของคุณจะถูกปิดใช้งาน

วันสอบ ผมจองไว้ 9โมงเช้า ที่ ERT ชั้น3 ตึกชาญอิสระ2 (ขับรถไป ขอบัตรจอดรถที่ศูนย์สอบจอดฟรี 3ชั่วโมง   โดยผมไปถึงศูนย์สอบ 8.00  แต่ศูนย์เปิด 8.30 บอกเขาว่ามาสอบ CC และใช้บัตรประชาชนกับใบขับขี่ เพื่อทำการลงทะเบียน หลังจากนั้น เซ็นชื่อ สแกนมือ สแกนหน้า เก็บของในล็อคเกอร์ ก็จะได้เริ่มสอบตอน 9โมงพอดี

สุดท้ายเมื่อสอบเสร็จ เรากด Submit   แล้วก็เดินออกจากห้องสอบ 

พอออกมาเจ้าหน้าที่ปริ้นท์ผลสอบให้เลยว่าผ่าน  หลังจากสอบเสร็จ แล้วก็ขอบคุณ เจ้าหน้าที่สอบก่อนจะเดินออกไป

เมื่อสอบผ่านแล้ว เราจะต้องเข้าไป Activate ด้วยนะครับ เขาเรียกว่า การรับรอง (Endorsement) โดยให้เราล็อกอินใน (ISC)2 แล้วเข้าลิงก์นี้ https://apps.isc2.org/Endorsement/#/Home กดเลือก New Endorsement Application โดยหลังสอบประมาณ1–3วัน  จะรอทาง ISC2 ตรวจสอบและยืนยัน Cert 

Endorsement Applications Being Processed

เมื่อสอบผ่านจะได้รับเมล 1-2 วันหลังสอบผ่านจาก isc2.org   

หากต้องการให้ Cert อยู่กับเรา  ต้องสมัครสมาชิก โดยมีค่าสมัครอยู่ที่ 50 ดอลลาร์ หรือประมาณ 1,700 บาทครับ 

หลังจากทำตามขั้นตอนของ (ISC)2   ก็สามารถไป Claim Badge ใน Credly ได้

จะต้องเก็บเครดิตให้ได้ 45 เครดิตในช่วง 3  ปี เราจึงจะขอคงสภาพ CC ไว้ได้ ซึ่งเครดิตพวกนี้ก็ได้มาหลากหลาย ทั้งการทำงานให้สถาบันรับรอง หรือเข้าร่วมสัมนาออนไลน์ของ (ISC)2 ก็ได้ครับ

Conclusion

                 คนที่มีประสบการณ์การทำงานในสาย Cybersecurity ในระดับหนึ่ง อาจจะดูเนื้อหาคร่าวๆ อ่านเพิ่มแค่บางจุดในDomainที่ตัวเราไม่รู้ ก็สามารถไปสอบได้เลย  ใช้เวลาข้อละ ไม่เกิน 1 นาที เดี๋ยวทำข้อสอบไม่ทัน  แล้วไม่สามารถข้ามข้อสอบได้    (ข้อสอบไม่สามารถย้อนไปทบทวนได้ ตอบแล้วตอบเลย)

โดยปัจจุบันผมทำงานเป็น  IT  &  Network ,Forensics ก็จะมีเนื้อหาบางส่วนที่เรารู้จากการทำงาน   เลยไม่ได้ลงเรียนคอร์สของCC (ISC)² แต่ใช้เวลาReviewเนื้อหาคร่าวๆ1วันในห้องกาลเวลาเพื่อทวน แล้วไปสอบเลย (ขิง)

Certified in Cybersecurity℠ (CC) ถือเป็น ใบเซอร์ตัวหนึ่งที่น่าสนใจ สำหรับผู้เริ่มต้น เนื่องจาก (ISC)² มีชื่อเสียง จากใบเซอร์ เช่น CISSP , แต่ว่าใบเซอร์ที่ยกตัวอย่างมา ส่วนใหญ่จะมีเนื้อหาที่ยากเหมาะสำหรับคนที่ทำงานในสายงานนั้นๆมาแต่ตัว CC เป็นใบเซอร์ที่เหมาะสำหรับอย่างยิ่งสำหรับผู้ที่ต้องการเริ่มต้นมาทำงานในสาย Cybersecurity ลองสอบ เพราะไม่ต้องใช้ประสบการณ์ในการทำงานมากนัก

Example

• What is the code of ethics for ISC2?

• Segregation of Duties

• Physical control
  
  Get an Edge on Your ISC2 Domain  Prabh Nair
• Domain 4: Network Security
  ต้องรู้ว่า OSI layer แต่ละอันอยู่ Layer เท่าไร, ประเภทภัยคุกคาม, Firewall มีไรบ้าง, Port ต่างๆที่ใช้บ่อยๆ ม่ีหลายข้อ
• Domain 5: Security Operations    Encryption, Hashing, Hardening (3 อันนี้ถามวนไปวนมาหลายข้อเหมือนกัน), ประเภทของ Policy เช่น AUP คือไร เจอบ่อยมากตอนสอบ
  
  
  
• Hot site ,Warm Site ,Cold Site 
  
  
  
• ต้องรู้คำศัพท์เฉพาะด้านไอทีให้ได้ เช่น phishing, frame, packet, IDS/IPS  เจอแน่ๆ
• ฝึกทำโจทย์เยอะๆ จะได้รู้ว่าตัวเองอ่อน domain ไหน

รับชมย้อนหลังได้แล้ว! ใครพลาดการบรรยายวันที่ 27-28 มกราคม 2568 ผ่าน Zoom สามารถรับชมย้อนหลังได้ที่ youtube

Photo Credit: NCSA

เนื้อหาอัดแน่น ครอบคลุมทั้ง 5 โดเมนของการสอบ

ช่วงที่ 1: บรรยายสรุปเนื้อหาสำคัญ

ช่วงที่ 2: ตัวอย่างโจทย์ข้อสอบ

ช่วงที่ 3: เทคนิคเตรียมสอบ & แหล่งข้อมูลเสริม

โอกาสดีสำหรับ

ผู้ที่สนใจสายงาน ความมั่นคงปลอดภัยไซเบอร์

นักศึกษาจบใหม่ที่ต้องการ เพิ่มทักษะให้ตรงตลาด

ผู้เชี่ยวชาญที่ต้องการ ปรับพื้นฐานให้ตรงตามมาตรฐานสากล

Photo Credit: NCSA

อ้างอิง:

• NCSA
• โครงการอบรมเชิงปฏิบัติการ “Certified in Cybersecurity (CC)”
•   https://www.linkedin.com/learning/isc-2-certified-in-cybersecurity-cc-cert-prep
• https://github.com/so87/CISSP-Study-Guide
• https://github.com/cyberfascinate/ISC2-CC-Study-Material/tree/main/Important%20PDFs
• https://github.com/cyberfascinate/ISC2-CC-Study-Material/tree/main/Notes
• https://github.com/cyberfascinate/ISC2-CC-Study-Material/blob/main/Flash%20Card.md
• https://github.com/cyberfascinate/ISC2-CC-Study-Material/blob/main/Quiz.md
  

• https://www.reddit.com/r/isc2/comments/13wd3ct/passed_my_isc2_cc_exam_resources_tips/

สอบผ่าน Certified in Cybersecurity (CC)ของ (ISC)2

What does CC certification get you?

Certified in Cybersecurity (CC) entry-level certification from ISC2 starts you on a clear path to a rewarding career. The benefits are many. Here are just a few:

•     Respect - Validate your knowledge and build credibility.  
•     Job offers and advancement - Gain the solid foundation of cybersecurity knowledge employers are looking for, from an association they trust. 
•     Growth and learning - Develop new skills you can apply in day-to-day work.  
•     Pathway to cybersecurity careers and advanced certifications - Build a strong foundation for an infosec career and become familiar with exam formats for advanced ISC2 certifications like CISSP®.
•     Community of professionals - Access a network of peers and CPE/learning opportunities. 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud